Drucksache: Entwickler Magazin 2.18 - Data Loss Prevention
Im Entwickler Magazin 2.18 ist ein Artikel über Data Loss Prevention erschienen: Wie lässt sich das herausschmuggeln von Daten aus einem lokalen Netz erkennen und verhindern?
Update 25.9.2018:
Der Artikel ist jetzt auch online
auf entwickler.de
verfügbar.
Ende des Updates
Das Ausspähen von Daten ist ein großes Problem. Unter dem Begriff „Data Loss Prevention“ werden alle möglichen Hard- und Softwarelösungen zusammengefasst, die dem unbefugten Kopieren von Daten einen Riegel vorschieben sollen.
Ich gehe mal davon aus, dass jeder von Ihnen Daten auf seinem Rechner hat, die nicht für unbefugte Dritte oder gar die Öffentlichkeit bestimmt sind. Ich habe jedenfalls welche. Sofern der Rechner mit dem Internet verbunden ist schützt uns alle nur das Desinteresse der Angreifer davor, dass diese Daten ausgespäht werden.
Denn wenn ein Angreifer wirklich an Daten ran will und keinen Aufwand scheut, stoppen ihn weder Data Loss Prevention Lösungen noch Air Gap - wo ein Wille ist, ist auch ein Weg. Selbst wenn die betroffenen Schutzprogramme laufend an neu vorgestellte Möglichkeiten für Covert Channel angepasst werden, verhindert das kein Datenleck.
Denn gegen die von Itzik Kotler und Amit Klein vorgestellte perfekte Exfiltration ist jedes Programm machtlos, obwohl die Methode bekannt ist. Ohne Kenntnis des "Schlüssels", also der verwendeten URL, lässt sich der Covert Channel nicht aufdecken und damit auch nicht schließen. Da kann man dann nur hoffen, dass im Falle eines Angriffs der Schadcode als solcher erkannt wird.
Wenig besser sieht es bei durch eine Air Gap vom Internet getrennten Netzen und Rechnern aus. Sobald ein Angreifer darauf Schadcode einschleusen kann, kann er auch Daten nach draußen funken. Und zum Einschleusen des Schadcodes kann er z.B. auf die Hilfe eines Innen-Täters oder infizierte USB-Sticks setzen. Da muss man dann wohl beim Gebäude nachrüsten: Das darf keine Funkwellen raus lassen. Und in Zukunft dann auch nichts, was als nächstes, übernächstes, überübernächstes,... als Cover Channel genutzt wird.
Irgendwie ist das alles ziemlich unschön.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Itzik Kotler, Amit Klein; Hack in the Box Amsterdam 2016: "In Plain Sight: The Perfect Exfiltration"
- [2] GitHub: SafeBreach-Labs/cachetalk
- [3] Itzik Kotler, Amit Klein; Black Hat USA 2017: "The Adventures of AV and the Leaky Sandbox" (Video auf YouTube)
- [4] Itzik Kotler, Amit Klein; DEF CON 25: "The Adventures of AV and the Leaky Sandbox" (Material, Video auf YouTube)
- [5] GitHub: SafeBreach-Labs/spacebin
- [6] Ang Cui; Black Hat USA 2015: "Emanate Like a Boss: Generalized Covert Data Exfiltration with Funtenna" (Video auf YouTube)
- [7] Funtenna by Red Balloon Security
- [8] GitHub: funtenna/funtenna_2015
- [9] David Atch, George Lashenko; Black Hat Europe 2017: "Exfiltrating Reconnaissance Data from Air-Gapped ICS/SCADA Networks" (Video auf YouTube)
Trackbacks